매체 타는 대단위 디도스 외 ‘작은 디도스’는 막기 어려워
CLDAP 활용한 디도스 공격 증가...트래픽량 증폭시켜
[보안뉴스 문가용 기자] 디도스 공격이 빈번하게 발생하고 있고, 대중들도 디도스 공격에 대해 알고 있을 만큼 그 위험성이 ‘대중화’ 되었음에도 아직 제대로 된 대처를 하고 있는 조직이 없다는 사실이 조사를 통해 드러났다. 디도스 공격을 미리 파악하고 방지하기는커녕 탐지와 대응마저 아직은 한참 수준 미달이라고 한다.
▲ 디도스 공격의 일상화, 여유를 느낄 시간이 없다[ⓒ iclickart]
IT 기술 및 통신 업체인 뉴스타(Neustar)는 전 세계에서 활동하고 있는 1010명의 CISO와 CIO, CTO를 대상으로 디도스 공격에 대한 설문을 실시했다. 디도스 공격의 빈도수와 그 악영향에 대해 특히 집중적으로 질문을 했다. 1010명 중 50%는 기업의 연간 수익이 5천억원에서 1조원 사이라고 답했다.
설문을 실시한 결과 디도스 공격이 지난 12개월 사이에 빈도수와 용량 면에서 크게 늘어났다는 사실을 발견할 수 있었다. 약 84%에 해당하는 850여명의 응답자는 1년 동안 최소 1회 이상의 디도스 공격을 받았다고 답했는데, 이는 지난 해의 73%에 비해 크게 늘어난 수치다.
1번 이상 디도스 공격을 받아봤다던 850개 조직들 중 86%는 디도스 공격을 ‘여러 번’ 막거나 후속조치를 취해야 했다고 답했는데, 이는 역시 작년의 같은 응답자보다 4% 정도 증가한 수치다. 즉 한 번 이상을 넘어 ‘여러 번’ 디도스 공격을 받은 조직도 4%나 증가했다는 것이다.
또한 공격을 받아본 경험이 있다는 조직들 중 절반 가까이가 디도스 공격이 일어난 시기 전후로 정보 유출, 데이터 도난, 랜섬웨어 공격 등의 악성 행위를 함께 발견했다고 답하기도 했다. 47%는 디도스 공격 후에 바이러스 활동을 발견했고, 43%는 멀웨어가 활성화된 것을 찾아냈고, 32%는 고객 정보가 유출된 사실을 알아냈다.
이러한 상황에서도 스스로 디도스 공격을 당하고 있다는 사실을 알아챈 조직은 거의 없었다는 충격적인 사실도 드러났다. 대부분의 경우 제3자나 파트너사가 알려올 때까지 디도스 공격에 대해 전혀 인지하지 못하고 있었는데, 더 정확히 말해 ‘스스로는 전혀 감지하지 못했다’고 답한 기업은 1/5이나 되었다.
이런 상황에서 대응에 걸린 시간은 얼마나 되었을까? 절반 정도는 적어도 세 시간 걸렸다고 답했고, 38%는 3~5시간이 걸렸다고 답했다. 전 세계적인 평균 대응 시간은 3시간인 것으로 나타났으며, 이는 지난 해 설문 결과보다 오히려 더 긴 시간이다. 디도스에 대한 적응력이 커지기는커녕 오히려 줄어든 것이라고도 볼 수 있다.
이는 굉장히 중요한 부분이다. 왜냐하면 디도스 공격으로 인해 기업들이 점점 더 많은 피해를 볼 것이 예측되기 때문이다. 이번 설문에 참여한 기업들 중 60% 이상이 디도스 공격이 일어나면 시간 당 1억원에 상당하는 손해를 볼 것이라고 예측하기도 했다. 31%는 2억 5천만원에서 10억원의 손해가, 12%는 10억원 이상의 손해가 시간 당 발생할 것이라고 답했다.
그렇다면 왜 이렇게 디도스에 대한 대응에 발전이 없는 것일까? 뉴스타의 조사 책임자인 바렛 리옹(Barrett Lyon)은 “디도스 공격을 당해본 경험이 부족해서”라고 분석한다. “우리가 흔히 알고 있는 대규모 디도스 공격이라면 누구나 알아챌 수 있지만 작은 디도스 공격도 많거든요. 여기에 대해서는 지식과 경험이 부족할 수 있죠. 게다가 사실 작은 디도스 공격은 탐지하기가 어렵기도 해요.”
경험이 부족하더라도 성능 조사나 성능 진단을 충분히 하면 디도스 공격을 탐지해서 막아낸다는 게 그리 어려운 일만은 아니다. 다만 “작은 디도스 공격의 경우 매우 빠르게 치고 빠지기 때문에 그런 조사를 할 여유가 없다”는 게 문제다. 수분 만에 공격이 전부 마무리 되기도 하니 말이다.
또 하나 이번 조사를 통해 발견된 사실은 무연결 LDAP(Connectionless LDAP, CLDAP)라는 프로토콜을 통한 디도스 공격이 올해 1사분기에 눈에 띄게 증가했다는 것이다. CLDAP란 LDAP의 한 종류이며, LDAP란 많은 조직들이 디렉토리 서비스처럼 활용하는 프로토콜이다. 많은 이들이 활용하는 디렉토리 서비스의 일종이기 때문에 실수나 부주의로 민감한 정보가 노출되는 경우도 왕왕 있다.
TCP를 통신의 기본으로 활용하는 LDAP와는 달리 CLDAP는 TCP보다 덜 안전한 UDP를 활용하는데, 이 때문에 디도스 공격을 위한 익스플로잇에 더 심각하게 노출되어 있다고 볼 수 있다. 공격자가 CLDAP를 활용해 디도스 공격을 할 경우 트래픽 양이 기하급수적으로 늘어난다는 장점이 있다. 보안 전문업체인 코레로 네트워크 시큐리티(Corero Network Security)의 보고에 의하면 CLDAP를 활용한 디도스 공격의 평균 트래픽 양은 10Gbps고 최고치는 33Gbps에 달한다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]
CLDAP 활용한 디도스 공격 증가...트래픽량 증폭시켜
[보안뉴스 문가용 기자] 디도스 공격이 빈번하게 발생하고 있고, 대중들도 디도스 공격에 대해 알고 있을 만큼 그 위험성이 ‘대중화’ 되었음에도 아직 제대로 된 대처를 하고 있는 조직이 없다는 사실이 조사를 통해 드러났다. 디도스 공격을 미리 파악하고 방지하기는커녕 탐지와 대응마저 아직은 한참 수준 미달이라고 한다.
▲ 디도스 공격의 일상화, 여유를 느낄 시간이 없다[ⓒ iclickart]
IT 기술 및 통신 업체인 뉴스타(Neustar)는 전 세계에서 활동하고 있는 1010명의 CISO와 CIO, CTO를 대상으로 디도스 공격에 대한 설문을 실시했다. 디도스 공격의 빈도수와 그 악영향에 대해 특히 집중적으로 질문을 했다. 1010명 중 50%는 기업의 연간 수익이 5천억원에서 1조원 사이라고 답했다.
설문을 실시한 결과 디도스 공격이 지난 12개월 사이에 빈도수와 용량 면에서 크게 늘어났다는 사실을 발견할 수 있었다. 약 84%에 해당하는 850여명의 응답자는 1년 동안 최소 1회 이상의 디도스 공격을 받았다고 답했는데, 이는 지난 해의 73%에 비해 크게 늘어난 수치다.
1번 이상 디도스 공격을 받아봤다던 850개 조직들 중 86%는 디도스 공격을 ‘여러 번’ 막거나 후속조치를 취해야 했다고 답했는데, 이는 역시 작년의 같은 응답자보다 4% 정도 증가한 수치다. 즉 한 번 이상을 넘어 ‘여러 번’ 디도스 공격을 받은 조직도 4%나 증가했다는 것이다.
또한 공격을 받아본 경험이 있다는 조직들 중 절반 가까이가 디도스 공격이 일어난 시기 전후로 정보 유출, 데이터 도난, 랜섬웨어 공격 등의 악성 행위를 함께 발견했다고 답하기도 했다. 47%는 디도스 공격 후에 바이러스 활동을 발견했고, 43%는 멀웨어가 활성화된 것을 찾아냈고, 32%는 고객 정보가 유출된 사실을 알아냈다.
이러한 상황에서도 스스로 디도스 공격을 당하고 있다는 사실을 알아챈 조직은 거의 없었다는 충격적인 사실도 드러났다. 대부분의 경우 제3자나 파트너사가 알려올 때까지 디도스 공격에 대해 전혀 인지하지 못하고 있었는데, 더 정확히 말해 ‘스스로는 전혀 감지하지 못했다’고 답한 기업은 1/5이나 되었다.
이런 상황에서 대응에 걸린 시간은 얼마나 되었을까? 절반 정도는 적어도 세 시간 걸렸다고 답했고, 38%는 3~5시간이 걸렸다고 답했다. 전 세계적인 평균 대응 시간은 3시간인 것으로 나타났으며, 이는 지난 해 설문 결과보다 오히려 더 긴 시간이다. 디도스에 대한 적응력이 커지기는커녕 오히려 줄어든 것이라고도 볼 수 있다.
이는 굉장히 중요한 부분이다. 왜냐하면 디도스 공격으로 인해 기업들이 점점 더 많은 피해를 볼 것이 예측되기 때문이다. 이번 설문에 참여한 기업들 중 60% 이상이 디도스 공격이 일어나면 시간 당 1억원에 상당하는 손해를 볼 것이라고 예측하기도 했다. 31%는 2억 5천만원에서 10억원의 손해가, 12%는 10억원 이상의 손해가 시간 당 발생할 것이라고 답했다.
그렇다면 왜 이렇게 디도스에 대한 대응에 발전이 없는 것일까? 뉴스타의 조사 책임자인 바렛 리옹(Barrett Lyon)은 “디도스 공격을 당해본 경험이 부족해서”라고 분석한다. “우리가 흔히 알고 있는 대규모 디도스 공격이라면 누구나 알아챌 수 있지만 작은 디도스 공격도 많거든요. 여기에 대해서는 지식과 경험이 부족할 수 있죠. 게다가 사실 작은 디도스 공격은 탐지하기가 어렵기도 해요.”
경험이 부족하더라도 성능 조사나 성능 진단을 충분히 하면 디도스 공격을 탐지해서 막아낸다는 게 그리 어려운 일만은 아니다. 다만 “작은 디도스 공격의 경우 매우 빠르게 치고 빠지기 때문에 그런 조사를 할 여유가 없다”는 게 문제다. 수분 만에 공격이 전부 마무리 되기도 하니 말이다.
또 하나 이번 조사를 통해 발견된 사실은 무연결 LDAP(Connectionless LDAP, CLDAP)라는 프로토콜을 통한 디도스 공격이 올해 1사분기에 눈에 띄게 증가했다는 것이다. CLDAP란 LDAP의 한 종류이며, LDAP란 많은 조직들이 디렉토리 서비스처럼 활용하는 프로토콜이다. 많은 이들이 활용하는 디렉토리 서비스의 일종이기 때문에 실수나 부주의로 민감한 정보가 노출되는 경우도 왕왕 있다.
TCP를 통신의 기본으로 활용하는 LDAP와는 달리 CLDAP는 TCP보다 덜 안전한 UDP를 활용하는데, 이 때문에 디도스 공격을 위한 익스플로잇에 더 심각하게 노출되어 있다고 볼 수 있다. 공격자가 CLDAP를 활용해 디도스 공격을 할 경우 트래픽 양이 기하급수적으로 늘어난다는 장점이 있다. 보안 전문업체인 코레로 네트워크 시큐리티(Corero Network Security)의 보고에 의하면 CLDAP를 활용한 디도스 공격의 평균 트래픽 양은 10Gbps고 최고치는 33Gbps에 달한다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
.jpg)
.jpg)
 THJ.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
